VPN сервер + Прокси Сервер

[dim-mik]

Есть (в разных местах):
Терминальный сервер под Windows 2003 в подключенный к Интернету.
Пользователи со своими Windows подключенные к Интернету.
VPN сервер + Прокси Сервер под Ubuntu подключенный к Интернету.

Задачи:
I. Терминальный сервер подключается к VPN серверу и получает IP-адрес 192.168.100.201
II. Пользователи подключается к VPN серверу и получает адреса 192.168.100.ХХХ
III. Пользователи подключается к удаленному рабочему столу 192.168.100.201
IV. Пользователям на Терминальном сервере в свойствах Mozilla прописываю прокси 192.168.100.1 и ходят они в Интернет не светя IP-адрес Терминального сервера.

Установка VPN сервера.
Имеет одну сетевую плату, которая смотрит в Интернет.

1. Устанавливаю ubuntu-10.04-server-i386 и настраиваю сетевую плату согласно провайдера.

2. Обновляю
Код:
$sudo -s -H
#apt-get update
#apt-get dist-upgrade
Reboot

3. Устанавливаю VPN сервер
Код:
$sudo -s -H
#apt-get install pptpd

4. Настраиваю VPN сервер

файл /etc/ppp/pptpd-options
Код:
name pptpd
refuse-pap
refuse-chap
require-mschap
require-mschap-v2
require-mppe-128
proxyarp
nodefaultroute
lock
nobsdcomp

файл /etc/pptpd.conf
Код:
option /etc/ppp/pptpd-options
logwtmp
localip 192.168.100.1
remoteip 192.168.100.2-254

файл /etc/ppp/chap-secrets
Код:
# Secrets for authentication using CHAP
# client server secret IP addresses
svr * 999 192.168.100.201 # Для терминального сервера
01 * 111 *
02 * 222 *
03 * 333 *

5. Разрешаю пропуск трафика
Добавил строку в файл /etc/rc.local
sysctl -w net.ipv4.ip_forward=1
reboot


В результате:
I. Терминальный сервер подключается к VPN серверу и получает IP-адрес 192.168.100.201
II. Пользователи подключается к VPN серверу и получает адреса 192.168.100.ХХХ.
* Чтобы на пользовательских компьютерах интернет не пытался работать через VPN соединение в свойствах оного закладка Сеть – Свойства TCP/IP – Дополнительно – снять птичку Использовать основной шлюз в удаленной сети.
III. Пользователи подключается к удаленному рабочему столу 192.168.100.201

6. Установливаю Прокс сервер.
Код:
$sudo -s -H
#apt-get install squid3

7. Настраиваю iptables
Код:
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.100.1:3128
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

8. Настраиваю squid3
файл /etc/squid3/squid.conf
Код:
http_port 3128
http_access allow All # для проверки

IV. Пользователям на Терминальном сервере в свойствах Mozilla прописываю прокси 192.168.100.1

Но не ходит через прокси

[AnrDaemon]

А хотя бы пингуется 192.168.100.1 с клиентов?

[dim-mik]

Все работает, извините, виртуальная машина за роутером стояла, vpn порты пробросил, прокси - забыл.
Теперь авторизация.

8. Настраиваю squid3
файл /etc/squid3/squid.conf
Код:
http_port 3128
acl users src 192.168.100.2-192.168.100.254
http_access allow users
http_access deny all

IV. Пользователям на Терминальном сервере в свойствах Mozilla прописываю прокси 192.168.100.1 и ходят они в Интернет не светя IP-адрес Терминального сервера.

[dim-mik]

Если Терминальных серверов несколько оказалось достаточно просто развести сервера и пользователей по подсеткам.

файл /etc/pptpd.conf
Код:
option /etc/ppp/pptpd-options
logwtmp
localip 192.168.100.1
remoteip 192.168.100.2-254,192.168.101.2-254,192.168.102.2-254,192.168.103.2-254 # и т.д. для необходимого количества серверов

файл /etc/ppp/chap-secrets
Код:
# Secrets for authentication using CHAP
# client server secret IP addresses
svr1 * 999 192.168.101.254 # Для терминального сервера 1
admin101 * 111 192.168.101.253 # Для администрирования терминального сервера 1
101 * 111 192.168.101.101 # Для пользователя 01 терминального сервера 1
102 * 111 192.168.101.102 # Для пользователя 02 терминального сервера 1
# и т.д.
svr2 * 999 192.168.102.254 # Для терминального сервера 2
admin102 * 111 192.168.102.253 # Для администрирования терминального сервера 2
201 * 111 192.168.102.101 # Для пользователя 01 терминального сервера 2
202 * 111 192.168.102.102 # Для пользователя 02 терминального сервера 2
# и т.д.
svr3 * 999 192.168.103.254 # Для терминального сервера 3
admin103 * 111 192.168.103.253 # Для администрирования терминального сервера 3
301 * 111 192.168.103.101 # Для пользователя 01 терминального сервера 3
302 * 111 192.168.103.102 # Для пользователя 02 терминального сервера 3
# и т.д.

Единственный минус - для администрирования серверов нужно отключаться от VPN сервера и подключаться новым пользователем.

[AnrDaemon]

Далеко не единственный минус.
Как быть, если авторизация идёт через домен?

[dim-mik]

Еще один минус.
Терминальный сервер получил IP 192.168.101.254 или 192.168.102.254.
Теперь не пингует 192.168.100.1
Не могу в свойствах браузера указать прокси 192.168.100.1 и соответственно с Терминального сервера через прокси в Интернет не ходит.
Может кто подскажет решение.

[AnrDaemon]

Маршрутизция на сервере сбита, либо брандмауэр перекошен.